Patrick Plate
3232d2f7fd
- V6 migration: consents table with audit columns - Consent entity, repository, service (grant/revoke/check) - ConsentController: GET/POST/DELETE consent endpoints - DSGVO export (Art. 15): full personal data JSON download - DSGVO deletion (Art. 17): anonymization + account deactivation - Frontend: consent banner (modal, cannot dismiss), privacy settings page - React Query hooks for consent + DSGVO operations - Full i18n (de/en) for consent and DSGVO namespaces
29 KiB
Testplan: CannaManage Sprint 6 — Production Readiness
Datum: 2026-06-12 Modul: cannamanage (all modules) Autor: Patrick Plate Status: Entwurf v1 Basis: cannamanage-sprint6-plan.md (v1)
Testübersicht
| ID | Beschreibung | Typ | Klasse/Tool | Status |
|---|---|---|---|---|
| T-01 | ConsentService: accept consent | Unit | ConsentServiceTest |
⬜ |
| T-02 | ConsentService: revoke consent | Unit | ConsentServiceTest |
⬜ |
| T-03 | ConsentService: check consent status | Unit | ConsentServiceTest |
⬜ |
| T-04 | ConsentService: re-prompt on new version | Unit | ConsentServiceTest |
⬜ |
| T-05 | DsgvoService: export user data (ZIP) | Unit | DsgvoServiceTest |
⬜ |
| T-06 | DsgvoService: erasure request (anonymize) | Unit | DsgvoServiceTest |
⬜ |
| T-07 | DsgvoService: retain legally required data | Unit | DsgvoServiceTest |
⬜ |
| T-08 | StripeService: create customer | Unit | StripeServiceTest |
⬜ |
| T-09 | StripeService: create checkout session (SEPA) | Unit | StripeServiceTest |
⬜ |
| T-10 | StripeService: create billing portal session | Unit | StripeServiceTest |
⬜ |
| T-11 | StripeService: handle webhook invoice.paid | Unit | StripeServiceTest |
⬜ |
| T-12 | StripeService: handle webhook payment_failed | Unit | StripeServiceTest |
⬜ |
| T-13 | StripeService: handle webhook subscription.deleted | Unit | StripeServiceTest |
⬜ |
| T-14 | StripeWebhookController: reject invalid signature | Unit | StripeWebhookControllerTest |
⬜ |
| T-15 | SubscriptionFilter: block expired subscription | Unit | SubscriptionFilterTest |
⬜ |
| T-16 | SubscriptionFilter: allow active subscription | Unit | SubscriptionFilterTest |
⬜ |
| T-17 | SubscriptionFilter: allow trial period | Unit | SubscriptionFilterTest |
⬜ |
| T-18 | AuditService: log event | Unit | AuditServiceTest |
⬜ |
| T-19 | AuditService: immutability (no update/delete) | Integration | AuditServiceIntegrationTest |
⬜ |
| T-20 | AuditService: JSON details serialization | Unit | AuditServiceTest |
⬜ |
| T-21 | AuditService: server-generated timestamp (Europe/Berlin) | Unit | AuditServiceTest |
⬜ |
| T-22 | AuditController: paginated list with filters | Integration | AuditControllerIntegrationTest |
⬜ |
| T-23 | AuditController: PDF export | Integration | AuditControllerIntegrationTest |
⬜ |
| T-24 | GrowCalendarService: create grow entry | Unit | GrowCalendarServiceTest |
⬜ |
| T-25 | GrowCalendarService: update stage transition | Unit | GrowCalendarServiceTest |
⬜ |
| T-26 | GrowCalendarService: link harvest to batch | Unit | GrowCalendarServiceTest |
⬜ |
| T-27 | GrowCalendarService: reject invalid stage progression | Unit | GrowCalendarServiceTest |
⬜ |
| T-28 | NotificationService: quota warning at 80% | Unit | NotificationServiceTest |
⬜ |
| T-29 | NotificationService: batch recall notification | Unit | NotificationServiceTest |
⬜ |
| T-30 | NotificationService: new distribution notification | Unit | NotificationServiceTest |
⬜ |
| T-31 | Flyway V6: consent + audit_event tables created | Integration | FlywayMigrationTest |
⬜ |
| T-32 | Flyway V7: stripe columns added to club | Integration | FlywayMigrationTest |
⬜ |
| T-33 | Flyway V8: grow_entry table created | Integration | FlywayMigrationTest |
⬜ |
| T-34 | Flyway V9: notification table created | Integration | FlywayMigrationTest |
⬜ |
| T-35 | Consent flow E2E: login → banner → accept → app access | E2E | Playwright | ⬜ |
| T-36 | Consent flow E2E: login → banner → reject → logout | E2E | Playwright | ⬜ |
| T-37 | Billing page E2E: display plan + upgrade CTA | E2E | Playwright | ⬜ |
| T-38 | Audit log page E2E: filter + pagination + PDF download | E2E | Playwright | ⬜ |
| T-39 | Grow calendar E2E: create entry + drag resize | E2E | Playwright | ⬜ |
| T-40 | Notification bell E2E: receive + display + mark read | E2E | Playwright | ⬜ |
| T-41 | PWA manifest: installable, correct icons | E2E | Lighthouse | ⬜ |
| T-42 | Production smoke test: full user journey | Manual | Production | ⬜ |
| T-43 | Backup/restore: pg_dump + restore verification | Manual | Production | ⬜ |
| T-44 | TLS verification: SSL Labs A+ rating | Manual | SSL Labs | ⬜ |
| T-45 | Load test: 100 concurrent users, p95 < 500ms | Performance | k6 | ⬜ |
Status: ⬜ Offen | ✅ Bestanden | ❌ Fehlgeschlagen | ⏭️ Übersprungen
Testfälle
T-01: ConsentService — accept consent
Typ: Unit
Klasse: de.cannamanage.service.ConsentServiceTest
Methode: testAcceptConsent()
Vorbedingungen:
- User existiert in der DB
- Kein vorhandener Consent-Eintrag für diesen User + Typ + Version
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Gültiger User, PRIVACY_POLICY, Version "2026-06-v1" | Consent-Entity gespeichert mit IP, User-Agent, Timestamp |
| b | User mit bereits akzeptiertem Consent (gleiche Version) | Exception: ConsentAlreadyAcceptedException |
| c | User mit revoked Consent (gleiche Version) | Neuer Consent-Eintrag erstellt (re-accept möglich) |
Nachbedingungen:
- Audit-Log-Eintrag CONSENT_ACCEPTED erstellt
- Consent in DB mit korrektem Timestamp
T-02: ConsentService — revoke consent
Typ: Unit
Klasse: de.cannamanage.service.ConsentServiceTest
Methode: testRevokeConsent()
Vorbedingungen:
- User hat aktiven Consent (acceptedAt != null, revokedAt == null)
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | User mit aktivem Consent | revokedAt gesetzt, Audit-Log CONSENT_REVOKED |
| b | User ohne aktiven Consent | Exception: NoActiveConsentException |
Nachbedingungen:
- Nachfolgende API-Aufrufe blockiert (Consent-Check schlägt fehl)
T-03: ConsentService — check consent status
Typ: Unit
Klasse: de.cannamanage.service.ConsentServiceTest
Methode: testCheckConsentStatus()
Vorbedingungen:
- Verschiedene Consent-Zustände in DB
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | User mit aktivem Consent (aktuelle Version) | true |
| b | User ohne Consent | false |
| c | User mit revoked Consent | false |
| d | User mit Consent alter Version (neue Version verfügbar) | false (re-prompt nötig) |
T-04: ConsentService — re-prompt on new version
Typ: Unit
Klasse: de.cannamanage.service.ConsentServiceTest
Methode: testRePromptOnNewVersion()
Vorbedingungen:
- User hat Consent für Version "2026-06-v1"
- System-Consent-Version ist jetzt "2026-09-v2"
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Check mit aktueller Version "2026-09-v2" | false — user muss neue Version akzeptieren |
| b | Nach Accept der neuen Version | true |
T-05: DsgvoService — export user data (ZIP)
Typ: Unit
Klasse: de.cannamanage.service.DsgvoServiceTest
Methode: testExportUserData()
Vorbedingungen:
- User mit Profildaten, Distributions, Quota-History, Consent-Einträgen
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | User mit vollständigen Daten | ZIP enthält: profile.json, distributions.json, quota-history.json, consents.json |
| b | User ohne Distributions | ZIP enthält leere distributions.json (leeres Array) |
| c | User mit gelöschtem Account | Exception: UserNotFoundException |
Nachbedingungen:
- Audit-Log-Eintrag DATA_EXPORT_REQUESTED
- ZIP-Datei ist valides ZIP-Format
T-06: DsgvoService — erasure request
Typ: Unit
Klasse: de.cannamanage.service.DsgvoServiceTest
Methode: testErasureRequest()
Vorbedingungen:
- User mit vollständigen Daten, aktiven Sessions
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Gültiger User | Name → "GELÖSCHT", Email → hash, Distributions anonymisiert (Mengen erhalten, Personenbezug entfernt) |
| b | User mit aktivem Consent | Alle Consents revoked |
| c | User mit aktiver Session | Alle Sessions invalidiert |
Nachbedingungen:
- Audit-Log-Eintrag DATA_ERASURE_REQUESTED
- Aggregat-Daten für Compliance erhalten (Gesamtmengen pro Monat)
- Kein Personenbezug mehr herstellbar
T-07: DsgvoService — retain legally required data
Typ: Unit
Klasse: de.cannamanage.service.DsgvoServiceTest
Methode: testRetainLegallyRequiredData()
Vorbedingungen:
- User mit Distributions (steuerrelevant, 10-Jahres-Aufbewahrungspflicht)
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Erasure-Request für User mit Distributions | Distributions anonymisiert (member_id → null oder "ANON"), aber Zeilen + Mengen erhalten |
| b | Erasure-Request für User ohne Distributions | Vollständige Löschung aller Daten |
T-08: StripeService — create customer
Typ: Unit (mit Stripe Mock)
Klasse: de.cannamanage.service.StripeServiceTest
Methode: testCreateCustomer()
Vorbedingungen:
- Club und Owner existieren
- Stripe API gemockt
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Club "Grüner Daumen", Owner email "owner@test.de" | Stripe Customer erstellt mit email + metadata (club_id, user_id) |
| b | Club bereits mit stripe_customer_id | Exception: CustomerAlreadyExistsException |
Nachbedingungen:
- club.stripeCustomerId gesetzt
T-09: StripeService — create checkout session
Typ: Unit (mit Stripe Mock)
Klasse: de.cannamanage.service.StripeServiceTest
Methode: testCreateCheckoutSession()
Vorbedingungen:
- Club hat stripe_customer_id
- Price ID existiert
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Starter plan, SEPA | Session mit mode=subscription, payment_methods=[sepa_debit,card,paypal], trial=14 days |
| b | Pro plan | Session mit korrektem price_id |
| c | Club ohne stripe_customer_id | Exception: NoStripeCustomerException |
T-10: StripeService — billing portal session
Typ: Unit (mit Stripe Mock)
Klasse: de.cannamanage.service.StripeServiceTest
Methode: testCreateBillingPortalSession()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Club mit activem Subscription | Portal-Session-URL zurückgegeben |
| b | Club ohne Subscription | Exception oder leere Portal-Session |
T-11: StripeService — webhook invoice.paid
Typ: Unit
Klasse: de.cannamanage.service.StripeServiceTest
Methode: testHandleInvoicePaid()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Gültiges invoice.paid Event | Club subscription_status → ACTIVE, Audit-Log PAYMENT_RECEIVED |
| b | Event für unbekannten Customer | Logged + ignoriert (kein Fehler) |
T-12: StripeService — webhook payment_failed
Typ: Unit
Klasse: de.cannamanage.service.StripeServiceTest
Methode: testHandlePaymentFailed()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Gültiges invoice.payment_failed Event | Club subscription_status → PAST_DUE, Audit-Log PAYMENT_FAILED |
| b | Wiederholter Fehlschlag | Status bleibt PAST_DUE (idempotent) |
T-13: StripeService — webhook subscription.deleted
Typ: Unit
Klasse: de.cannamanage.service.StripeServiceTest
Methode: testHandleSubscriptionDeleted()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Gültiges customer.subscription.deleted Event | Club subscription_status → CANCELED, Audit-Log SUBSCRIPTION_CANCELED |
T-14: StripeWebhookController — reject invalid signature
Typ: Unit
Klasse: de.cannamanage.api.controller.StripeWebhookControllerTest
Methode: testRejectInvalidSignature()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Request ohne Stripe-Signature Header | 400 Bad Request |
| b | Request mit ungültiger Signatur | 400 Bad Request |
| c | Request mit gültiger Signatur | 200 OK, Event verarbeitet |
T-15: SubscriptionFilter — block expired subscription
Typ: Unit
Klasse: de.cannamanage.api.security.SubscriptionFilterTest
Methode: testBlockExpiredSubscription()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Club mit status CANCELED | 402 Payment Required |
| b | Club mit status PAST_DUE (>grace period) | 402 Payment Required |
| c | Actuator/health endpoint | Kein Filter (immer erlaubt) |
| d | Webhook endpoint | Kein Filter (immer erlaubt) |
T-16: SubscriptionFilter — allow active subscription
Typ: Unit
Klasse: de.cannamanage.api.security.SubscriptionFilterTest
Methode: testAllowActiveSubscription()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Club mit status ACTIVE | Request durchgelassen |
| b | Club mit status PAST_DUE (innerhalb Grace Period) | Request durchgelassen (mit Warning-Header) |
T-17: SubscriptionFilter — allow trial period
Typ: Unit
Klasse: de.cannamanage.api.security.SubscriptionFilterTest
Methode: testAllowTrialPeriod()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Club mit status TRIALING, trial_ends_at > now | Request durchgelassen |
| b | Club mit status TRIALING, trial_ends_at < now | 402 Payment Required |
T-18: AuditService — log event
Typ: Unit
Klasse: de.cannamanage.service.AuditServiceTest
Methode: testLogEvent()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | DISTRIBUTION_CREATED, actor, entity, description | AuditEvent in DB gespeichert mit allen Feldern |
| b | System-Event (kein Actor) | actorId=null, actorName="SYSTEM" |
| c | Event mit Details (JSON) | details-Feld enthält serialisiertes JSON |
Nachbedingungen:
- createdAt server-generiert (nicht aus Request)
T-19: AuditService — immutability
Typ: Integration
Klasse: de.cannamanage.service.AuditServiceIntegrationTest
Methode: testImmutability()
Vorbedingungen:
- AuditEvent in DB gespeichert
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | UPDATE auf audit_event Zeile via EntityManager | Exception (Hibernate @Immutable verhindert Update) |
| b | DELETE auf audit_event Zeile via EntityManager | Exception oder ignoriert |
| c | Native SQL UPDATE | DB-Trigger verhindert Änderung (wenn implementiert) |
T-20: AuditService — JSON details serialization
Typ: Unit
Klasse: de.cannamanage.service.AuditServiceTest
Methode: testJsonDetailsSerialization()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Map mit before/after Werten | Valides JSON in details-Feld |
| b | null details | details-Feld ist null (nicht "null" String) |
| c | Komplexes Objekt mit verschachtelten Feldern | Korrekt serialisiert, deserialisierbar |
T-21: AuditService — server-generated timestamp
Typ: Unit
Klasse: de.cannamanage.service.AuditServiceTest
Methode: testServerGeneratedTimestamp()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Event ohne explizites Timestamp | createdAt = Instant.now() (±1s Toleranz) |
| b | Event mit manipuliertem createdAt im Request | Ignoriert — Server überschreibt via @PrePersist |
T-22: AuditController — paginated list with filters
Typ: Integration
Klasse: de.cannamanage.api.controller.AuditControllerIntegrationTest
Methode: testPaginatedListWithFilters()
Vorbedingungen:
- 100+ Audit-Events in DB (verschiedene Typen, Zeiträume, Akteure)
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | GET /audit?page=0&size=50 | 50 Events, Pagination-Metadaten korrekt |
| b | GET /audit?type=DISTRIBUTION_CREATED | Nur Distribution-Events |
| c | GET /audit?from=2026-06-01&to=2026-06-30 | Nur Events im Juni |
| d | GET /audit?actor=Patrick | Nur Events von Patrick |
| e | GET /audit?search=Northern+Lights | Full-text Suche in description |
T-23: AuditController — PDF export
Typ: Integration
Klasse: de.cannamanage.api.controller.AuditControllerIntegrationTest
Methode: testPdfExport()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | GET /audit/export?format=pdf&from=2026-06-01&to=2026-06-30 | Valides PDF, Content-Type application/pdf |
| b | Export mit 0 Events | PDF mit "Keine Einträge im Zeitraum" Meldung |
| c | Export mit 1000+ Events | PDF generiert ohne OutOfMemory (streamed) |
T-24: GrowCalendarService — create grow entry
Typ: Unit
Klasse: de.cannamanage.service.GrowCalendarServiceTest
Methode: testCreateGrowEntry()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Strain "Northern Lights", SEEDLING, startDate=today, plantCount=10 | GrowEntry gespeichert, Audit-Log |
| b | Ohne strain_id | Validation-Fehler |
| c | endDate vor startDate | Validation-Fehler |
T-25: GrowCalendarService — stage transition
Typ: Unit
Klasse: de.cannamanage.service.GrowCalendarServiceTest
Methode: testStageTransition()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | SEEDLING → VEGETATIVE | Erfolgreich, stage aktualisiert |
| b | SEEDLING → FLOWERING (Stufe übersprungen) | Erlaubt (flexible Progression) |
| c | HARVEST → SEEDLING (Rückwärts) | Erlaubt (Korrektur möglich) |
T-26: GrowCalendarService — link harvest to batch
Typ: Unit
Klasse: de.cannamanage.service.GrowCalendarServiceTest
Methode: testLinkHarvestToBatch()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | GrowEntry im HARVEST-Stage + existierende Batch | linkedBatch gesetzt, Audit-Log HARVEST_LINKED_TO_BATCH |
| b | GrowEntry nicht im HARVEST-Stage | Nur im HARVEST/DRYING/CURING-Stage erlaubt |
| c | Batch bereits mit anderem GrowEntry verknüpft | Warnung (aber erlaubt — ein Batch kann mehrere Grows haben) |
T-27: GrowCalendarService — reject invalid stage
Typ: Unit
Klasse: de.cannamanage.service.GrowCalendarServiceTest
Methode: testRejectInvalidStage()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Stage = null | Validation-Fehler |
| b | Stage = ungültiger String (API-Ebene) | 400 Bad Request |
T-28: NotificationService — quota warning
Typ: Unit
Klasse: de.cannamanage.service.NotificationServiceTest
Methode: testQuotaWarning()
Vorbedingungen:
- SimpMessagingTemplate gemockt
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | userId=42, percentUsed=80 | Message an /user/42/queue/notifications mit type=QUOTA_WARNING |
| b | userId=42, percentUsed=95 | Gleiche Nachricht (Schwellwert-Logik liegt im Aufrufer) |
T-29: NotificationService — batch recall
Typ: Unit
Klasse: de.cannamanage.service.NotificationServiceTest
Methode: testBatchRecallNotification()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | clubId=1, batchName="Northern Lights #7" | Message an /topic/club/1/notifications mit type=BATCH_RECALL |
T-30: NotificationService — new distribution
Typ: Unit
Klasse: de.cannamanage.service.NotificationServiceTest
Methode: testNewDistributionNotification()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | memberId=7, "Northern Lights", 5.0g | Message an /user/7/queue/notifications mit type=DISTRIBUTION |
T-31: Flyway V6 — consent + audit_event tables
Typ: Integration
Klasse: de.cannamanage.FlywayMigrationTest
Methode: testV6ConsentAndAuditTables()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Migration V6 ausführen | Tabellen consent und audit_event existieren |
| b | consent: unique constraint (user_id, consent_type, version) | Duplikat-Insert schlägt fehl |
| c | audit_event: JSONB column für details | INSERT mit JSON-Wert funktioniert |
T-32: Flyway V7 — stripe columns
Typ: Integration
Klasse: de.cannamanage.FlywayMigrationTest
Methode: testV7StripeColumns()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Migration V7 ausführen | Spalten stripe_customer_id, subscription_status, subscription_plan, trial_ends_at in club |
| b | Existierende Clubs | NULL-Werte für neue Spalten (keine Default-Pflicht) |
T-33: Flyway V8 — grow_entry table
Typ: Integration
Klasse: de.cannamanage.FlywayMigrationTest
Methode: testV8GrowEntryTable()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Migration V8 ausführen | Tabelle grow_entry mit FK zu strain + batch |
| b | INSERT mit gültigem strain_id | Erfolgreich |
| c | INSERT mit ungültigem strain_id | FK-Violation |
T-34: Flyway V9 — notification table
Typ: Integration
Klasse: de.cannamanage.FlywayMigrationTest
Methode: testV9NotificationTable()
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Migration V9 ausführen | Tabelle notification existiert |
| b | Index auf (user_id, read_at) | Performante Abfrage ungelesener Notifications |
T-35: Consent Flow E2E — accept
Typ: E2E (Playwright)
Klasse: e2e/consent-flow.spec.ts
Vorbedingungen:
- Neuer User (kein Consent in DB)
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Login → Consent-Banner erscheint | Modal sichtbar, "Akzeptieren" + "Ablehnen" Buttons |
| b | Klick "Akzeptieren" | Modal verschwindet, Dashboard wird geladen |
| c | Erneuter Login (gleicher User) | Kein Banner (Consent bereits akzeptiert) |
T-36: Consent Flow E2E — reject
Typ: E2E (Playwright)
Klasse: e2e/consent-flow.spec.ts
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Login → Klick "Ablehnen" | Redirect zu Login-Seite, Session invalidiert |
| b | Versuch direkter Navigation zu /dashboard (ohne Consent) | Redirect zu Consent-Banner |
T-37: Billing Page E2E
Typ: E2E (Playwright)
Klasse: e2e/billing.spec.ts
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Navigate zu /settings/billing (Trial-User) | Pricing Cards sichtbar (Starter + Pro) |
| b | Navigate zu /settings/billing (Active Subscriber) | Aktueller Plan + "Verwalten" Button sichtbar |
| c | Klick "Verwalten" | Redirect zu Stripe Billing Portal |
T-38: Audit Log Page E2E
Typ: E2E (Playwright)
Klasse: e2e/audit-log.spec.ts
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Navigate zu /admin/audit-log | Tabelle mit Events sichtbar |
| b | Filter nach Typ "Distribution" | Nur Distribution-Events angezeigt |
| c | Klick "PDF Export" | PDF-Download startet |
| d | Pagination (Seite 2) | Neue Events geladen |
T-39: Grow Calendar E2E
Typ: E2E (Playwright)
Klasse: e2e/grow-calendar.spec.ts
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Navigate zu /grow | FullCalendar sichtbar mit Monatsansicht |
| b | Klick auf Datum | Create-Dialog öffnet sich |
| c | Formular ausfüllen + speichern | Neuer farbiger Block im Kalender |
| d | Klick auf existierenden Block | Detail-Panel mit Edit/Delete |
T-40: Notification Bell E2E
Typ: E2E (Playwright)
Klasse: e2e/notifications.spec.ts
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Notification empfangen (via WebSocket) | Bell-Icon zeigt Badge mit Anzahl |
| b | Klick auf Bell | Dropdown mit Notification-Liste |
| c | Klick auf einzelne Notification | Als gelesen markiert, Badge decremented |
T-41: PWA Manifest
Typ: E2E (Lighthouse) Tool: Lighthouse PWA Audit
Szenarien:
| # | Eingabe | Erwartetes Ergebnis |
|---|---|---|
| a | Lighthouse PWA Audit | installable=true, manifest valid, service worker registered |
| b | Icons vorhanden | 192px + 512px PNG Icons |
| c | Offline-Seite | Netzwerk trennen → offline.html angezeigt (statt Browser-Fehler) |
T-42: Production Smoke Test
Typ: Manual (Production) Tool: Browser auf cannamanage.de
Szenarien:
| # | Aktion | Erwartetes Ergebnis |
|---|---|---|
| a | Registrierung neuer Club | Account erstellt, Consent-Banner erscheint |
| b | Consent akzeptieren | Zugang zur App |
| c | Subscription (Stripe Test-Karte) | Checkout → Subscription aktiv |
| d | Mitglied anlegen | Mitglied in Liste sichtbar |
| e | Ausgabe aufzeichnen | Distribution erstellt, Quota aktualisiert |
| f | Audit-Log prüfen | Alle Aktionen geloggt |
| g | PDF Export | Valides PDF heruntergeladen |
| h | Grow-Eintrag erstellen | Kalender zeigt Eintrag |
| i | Notification empfangen | Bell-Icon zeigt neue Notification |
T-43: Backup/Restore Verification
Typ: Manual (Production) Tool: SSH + pg_dump/pg_restore
Szenarien:
| # | Aktion | Erwartetes Ergebnis |
|---|---|---|
| a | pg_dump auf Production | Komprimiertes SQL-File erstellt |
| b | Restore in leere DB | Alle Tabellen + Daten wiederhergestellt |
| c | Cron-Job Ausführung prüfen | Backup-Datei < 24h alt in /backup/ |
| d | Rotation prüfen | Keine Dateien > 7 Tage in /backup/ |
T-44: TLS Verification
Typ: Manual Tool: SSL Labs (ssllabs.com/ssltest)
Szenarien:
| # | Aktion | Erwartetes Ergebnis |
|---|---|---|
| a | SSL Labs Test auf cannamanage.de | Rating: A+ |
| b | HSTS Header prüfen | Strict-Transport-Security present, max-age ≥ 63072000 |
| c | Mixed Content prüfen | Keine HTTP-Ressourcen auf HTTPS-Seite |
T-45: Load Test
Typ: Performance Tool: k6
Script: scripts/load-test.js
Szenarien:
| # | Konfiguration | Erwartetes Ergebnis |
|---|---|---|
| a | 100 VUs, 5 min, Ramp-up 30s | p95 < 500ms, 0 errors |
| b | API endpoints: /dashboard, /members, /distributions | Alle < 500ms p95 |
| c | WebSocket connections: 50 concurrent | Stable, kein Disconnect |
Testdaten
Seed-Daten (für Unit/Integration Tests)
- Club: "Testverein Grüner Daumen" (id=1)
- Users: admin@test.de (ADMIN), staff@test.de (STAFF), member@test.de (MEMBER)
- Members: 5 Testmitglieder mit verschiedenen Quota-Ständen (0%, 50%, 80%, 95%, 100%)
- Batches: 3 Batches (Northern Lights, Amnesia Haze, White Widow)
- Distributions: 20 historische Distributionen
- Strains: 5 Sorten mit THC/CBD-Werten
- Grow Entries: 3 in verschiedenen Stages
Stripe Test-Daten
- Stripe Test-Karte:
4242424242424242(Erfolg) - Stripe Test-SEPA:
DE89370400440532013000(Erfolg) - Stripe Test-Karte:
4000000000000002(Ablehnung) - Webhook Events: via Stripe CLI (
stripe listen --forward-to localhost:8080/api/v1/webhooks/stripe)
Testabdeckung
| Komponente | Unit | Integration | E2E | Manual | Gesamt |
|---|---|---|---|---|---|
| ConsentService | 4 | 0 | 2 | 0 | 6 |
| DsgvoService | 3 | 0 | 0 | 0 | 3 |
| StripeService | 6 | 0 | 1 | 0 | 7 |
| StripeWebhookController | 1 | 0 | 0 | 0 | 1 |
| SubscriptionFilter | 3 | 0 | 0 | 0 | 3 |
| AuditService | 4 | 2 | 1 | 0 | 7 |
| GrowCalendarService | 4 | 0 | 1 | 0 | 5 |
| NotificationService | 3 | 0 | 1 | 0 | 4 |
| Flyway Migrations | 0 | 4 | 0 | 0 | 4 |
| PWA/Production | 0 | 0 | 1 | 3 | 4 |
| Performance | 0 | 0 | 0 | 1 | 1 |
| Summe | 28 | 6 | 7 | 4 | 45 |
Hinweise
- Stripe-Tests: Verwenden gemockten Stripe-Client (keine echten API-Calls in Unit-Tests). Integration mit Stripe CLI für Webhook-Testing.
- WebSocket-Tests: SimpMessagingTemplate wird gemockt. E2E-Test prüft echte WS-Verbindung.
- Immutability: Zusätzlich zum Hibernate @Immutable kann ein DB-Trigger empfohlen werden — Test T-19c prüft dies nur wenn implementiert.
- DSGVO-Tests: Besonderes Augenmerk auf Datenminimierung — Tests verifizieren, dass Löschung vollständig ist UND dass legal notwendige Daten erhalten bleiben.
- Performance-Test: k6 Script wird in Phase 7 erstellt. Baseline-Werte nach Phase 1 Deployment messen.